构建web应用程序防火墙的最佳材料是什么？

Question

我是这个领域的新手，想学习更多关于Web应用防火墙的知识。有人能告诉我，为了从头开始编写(构建) Web应用程序防火墙，我可以参考的任何材料或教程吗？

我计划建立一个WAF，可以防止已知的恶意行为，如: SQL注入，XSS攻击，等等。同时，可以在一段时间内对正常用户进行学习，并在学习到的数据基础上防止失范。

Answer 1

这取决于防火墙的用途，老实说，一些web应用程序防火墙提供了不同的解决方案。

根据我自己的经验，我创建了一个所谓的web应用程序防火墙，首先使用nginx反向代理在服务器上接收请求，然后将它们过滤到我的后端服务器上。

Nginx有很好的文档，你可以从它开始。

然后，您可以从反向代理服务器中添加自己的功能。如果您愿意的话，可以添加一些iptable规则，尤其是提供基本的DDoS保护。

您还可以为更高级的保护功能添加mod_security。本指南可以帮助您探索它，还有一些OWASP规则，因为(可能)对于使用mod_security构建防火墙的人来说，这是一个通用的标准。

同样，您的web应用程序防火墙功能是您自己的选择。这是一个需要探索的大领域，从“强化的反向代理服务器”(酷名，嗯？)开始，您可以继续使用另一种类型，比如基于DNS的防火墙，或者类似的类型。

Answer 2

这取决于你在寻找什么和你的范围。

作为新手，您可以尝试现有的方法，如：

• OWASP ModSecurity核心规则集
• 梭鱼
• AQTRONIX WebKnight
• IronBee

或者你喜欢的任何东西。

在这里您可以找到一些建议：http://linuxbsdos.com/2011/12/06/3-application-level-firewalls-for-linux-distributions/